PKI-Management für die größte vernetzte Maschine

strommast-2104028_1920Mitte 2017 ist nicht nur das Bewusstsein für Cybersicherheit gewachsen, sondern auch die damit verbundenen schwerwiegenden Bedenken. Allein aus einer kursorischen Übersicht der sieben größten Datenschutzvorfälle des vergangenen Jahres wird deutlich, wie schwierig es für IT-Sicherheitsteams geworden ist, selbst bei bereits bekannten Bedrohungsszenarien Abhilfe zu schaffen. Dazu kommt gerade was die Sicherheit kritischer Infrastrukturen anbelangt die politische Gemengelage. Nordkorea rasselt mit den Säbeln, die Beziehungen zwischen den USA und Russland sind angespannt. Das führt zu einer erhöhten Sensibilität. Wie sicher sind kritische Infrastrukturen wie Strom- und Versorgungsnetze wirklich?

Neben den Bedrohungen durch natürliche elektromagnetische Impulse (EMP) und dem Gefahrenpotenzial durch von Menschen verursachte EMP-Angriffe, sind Stromnetze anfällig für Cyberangriffe. Dass dies nicht nur der Stoff ist aus dem Literatur gemacht wird, sondern inzwischen Realität, hat das Beispiel der Ukraine gezeigt. Aber sind Hacker tatsächlich in der Lage, eine der komplexesten Infrastrukturen zur Servicebereitstellung lahmzulegen und damit Dienste auf die Millionen von Menschen angewiesen sind?

Die größte vernetzte Maschine: Das Stromnetz der USA

power-poles-287345_1920In einem aktuellen Newsweek-Artikel unter dem Titel ‚Die größte vernetzte Maschine‚ heißt es: „Das US-Stromnetz ist ein komplexes digitales und physikalisches System, das für Leben und Handel in diesem Land entscheidend ist. Aktuell besteht es aus mehr als 7.000 Kraftwerken, 55.000 Umspannwerken, 160.000 Meilen Hochspannungsleitungen und Millionen Meilen Niederspannungs-Verteilerleitungen. Dieses Netz von Generatoren, Umspannwerken und Stromleitungen ist in drei Verbundnetze (Interconnections) unterteilt, die von 66 Regelzonenbetreibern und 3.000 verschiedenen Versorgungsunternehmen betrieben werden. Das sind eine Menge Strom und viele potenzielle Schwachstellen.“

Die Versorgungswirtschaft in den Vereinigten Staaten ist überwiegend autonom geregelt. Das gilt auch bei den Sicherheitsvorkehrungen für die Infrastruktur (Verkabelung, Umspannwerke, Transformatoren, Verschaltungen, Maschinen und andere Endpunkte). Hier greifen eigene Richtlinien und Best Practices. Um trotzdem nicht von potenziellen Bedrohungen überrascht zu werden und handlungsfähig zu sein, schlug der Kongress der Vereinigten Staaten vor einigen Jahren das GRID-Gesetz (GRID Act) vor.

Der Grid Reliability and Infrastructure Defense Act (Gesetz zur Netzzuverlässigkeit und Infrastrukturverteidigung) oder kurz GRID Act ändert den früheren Federal Power Act und ermächtigt die Federal Energy Regulatory Commission (FERC), Befehle für Notfallmaßnahmen zum Schutz kritischer elektrischer Infrastrukturen zu erteilen, wenn der Präsident eine unmittelbar bevorstehende Bedrohung der Sicherheit des Stromnetzes befürchtet.

Lobbyvertreter und Gesetzgeber auf beiden Seiten kämpften seit Jahren um die Kontrolle und das Recht entsprechende Standards zu formulieren. Unterdessen ist der GRID Act, der ein großer erster Schritt zur Sicherung der Stromnetze zu sein schien allerdings in die Mühlen der Gesetzgebung geraten. Der derzeitige Status: „in der Überprüfung“. Die Versorgungswirtschaft reguliert sich derzeit also weiterhin selbst, legt Compliance-Standards fest und erstellt Vorschriften, um sich vor Cyber-bedrohungen zu schützen.

KRITIS: Ein Exkurs

A2015 passierte es anstandslos den Bundesrat. Mit auslösend für den Charakter des Entwurfs waren vor allem die Angriffe auf sogenannte „kritische Infrastrukturen“, #KRITIS. Mit „kritischen Infrastrukturen“ sind vor allem solche gemeint, die dafür sorgen, dass ein Gemeinwesen funktioniert. Also Energieversorger, Betreiber von Krankenhäusern, Banken und Versicherungen, Transport- und Logistikfirmen, aber auch IT- und Telekommunikationsunternehmen. Die branchenübergreifenden Regeln sollen denn nicht nur für ein einheitliches, sondern vor allem für ein besseres Sicherheitsniveau sorgen. Dazu existieren schon eine ganze Reihe von Rahmenwerken wie die ISO-Normenreihe, die IT-Grundschutzkataloge des BSI und Empfehlungen wie die der amerikanischen NIST. Welche technischen Maßnahmen konkret zu ergreifen sind, um eine kritische Infrastruktur zu schützen, hat der Gesetzgeber allerdings offen gelassen.

Sollte der Fall des Falles eintreten, muss das #BSI (das Bundesamt für Sicherheit in der Informationstechnik) in seiner neuen Rolle als nationale Aufsichtsbehörde informiert werden. Hier greift die Meldepflicht nach § 8b Abs. 4 BSI-G. Ob anonym oder nicht und wie anonym eine solche Meldepflicht überhaupt sein kann, darüber wurde lange gestritten. Das IT-Sicherheitsgesetz endet hier in einer Kompromisslösung: grundsätzlich genügt eine anonyme Meldung. Haben der Angriff und der daraus folgende Datenklau Auswirkungen auf die kritische Infrastruktur, müssen Namen genannt werden.

Was muss geschützt werden?

2011 sagte Joseph McClelland, Direktor des Office of Electric Reliability, als Teil der Federal Energy Regulatory Commission, im Rahmen einer Anhörung:

  • #Smart-Grid-Anwendungen automatisieren viele Entscheidungen bei der Versorgung und Nutzung von Elektrizität. Ziel ist es die Effizienz zu steigern und letztlich Kosten einzusparen.
  • Ohne ausreichende Schutzmaßnahmen erlaubt es diese Automatisierung Angreifern auf die übrigen Daten- und Kontrollsysteme des Unternehmens zuzugreifen und dort potenziell erhebliche Schäden zu verursachen.
  • Sicherheitsfeatures müssen Teil einer ganzheitlichen Betrachtungsweise werden. In Bezug auf Daten gibt es diverse Möglichkeiten, wie Smart-Grid-Technologien neue Cyberschwachstellen im System schaffen. Beispielsweise wenn sich ein Angreifer Zugriff auf ein remote oder zwischen geschaltetes Smart-Grid-Gerät verschafft und Datenwerte ändert, die von Downstream-Geräten überwacht oder empfangen werden. Sie übergeben dann falsche Daten in den Upstream, was zu Bedienfehlern oder Fehlern in den automatischen Systemen führt.
  • Besonders kritisch sind Angriffe auf Kontrollsysteme. Erlangt ein Angreifer Zugang zu den Kommunikationskanälen, kann er beispielsweise Messgeräte manipulieren, die den Verbrauch ermitteln, Kunden können vom Stromnetz getrennt werden oder zuvor geminderte Lasten wieder vorzeitig online verfügbar gemacht werden. Ebenso bestünde die Möglichkeit Versorgungsquellen zu Zeiten abzuschalten, wenn sich die Last der Erzeugungskapazität nähert. Das würde Instabilität und Ausfälle im ganzen Stromsystem verursachen.
  • Eine der Fähigkeit des Smart Grid ist die Möglichkeit, die Versorgung mit Advanced Metering Infrastructure (AMI) remote zu trennen. Sind in einer AMI-Anwendung nur unzureichende Sicherheitsmaßnahmen implementiert, kann ein Hacker sich Zugang verschaffen. Vorstellbar ist beispielsweise, dass er alle Kunden mit einem AMI-Gerät von der Versorgung trennt.
  • Ist ein solcher Angriff ausgedehnt genug, kann die daraus resultierende Abschaltung der Last vom Verteilungssystem sich auf das ganze Stromsystem auswirken. Wenn ein Angreifer nach der Trennung anschließend einen gezielten Cyberangriff gegen Remote-Messgeräte lanciert, würde die Wiederherstellung der Versorgung zudem stark verzögert.

Um es zusammenzufassen: Ein Energieversorger muss so gut wie seine komplette Infrastruktur schützen.

Wer legt die Standards fest?

energy-1685945_1920Sicherheitsstandards für Versorgungsunternehmen sind besonders bedeutsam. Die Details im aktuellen Newsweek-Artikel deuten auf die North American Electric Reliability Corporation, die das Netz in den USA und Kanada überwacht, und die über eine Reihe von Critical Infrastructure Protection (CIP) Compliance-Regeln und Richtlinien verfügt, wie Energieversorger das Stromnetz schützen müssen, physikalisch wie elektronisch. Dazu gehört es, das Netz im Hinblick auf Angriffe zu überwachen als auch die Forderung nach Sicherheitsvorkehrungen wie Multi-Faktor-Benutzerauthentifizierung um unbefugte Eindringlinge von den  Steuerungsnetzwerke fernzuhalten.

Das US National Institute of Standards and Technology hat seine eigenen Empfehlungen, obwohl sie nicht verpflichtend für Versorgungsunternehmen sind. Eine Entwurfsversion einer neuen Reihe von Richtlinien wurde soeben veröffentlicht. Sie liefern weitere Details für Versorgungsunternehmen und unterstreichen ein weiteres Mal die Dringlichkeit.

Wie Lila Kee, Chief Product Officer bei GlobalSign letztes Jahr in ihrem Blog hervorgehoben hat: „Netzanbieter sollten weiterhin gemeinsam mit den Behörden an Pen-Testing arbeiten, um Sicherheitslücken zu schließen, bevor sie ausgenutzt werden. Wir sollten Netze zukunftssicher machen, indem wir #IoT-Sicherheitsstandards für bestimmte Branchen schaffen (z. B. Netzanbieter), sodass Hersteller weiterhin starke Authentifizierung, Zugangskontrolle und Verschlüsselung in ihre Produkte integrieren, bevor sie auf den Markt kommen.“

Das bereits erwähnte IT-Sicherheitsgesetz sieht im Rahmen seiner Strategien und Rechtsgrundlagen auch eine sogenannte „Eignungsfeststellung branchenspezifischer Sicherheitsstandards“ vor. Zitat: „Das IT-Sicherheitsgesetz sieht auch vor, dass zur Festlegung des „Stand der Technik“ von den Branchen und ihren Fachverbänden branchenspezifische Sicherheitsstandards B3S erarbeitet werden können, die bei Eignung vom BSI anerkannt werden. Eine gesetzliche Pflicht zur Erarbeitung eines solchen B3S besteht nicht. Die Erstellung eines B3S ist für die Branchen jedoch eine Chance, ausgehend von der eigenen Expertise selber Vorgaben zum „Stand der Technik“ zu formulieren. Darüber hinaus gibt er den Betreibern, die sich nach einem solchen anerkannten B3S prüfen lassen, Rechtssicherheit bzgl. des „Stands der Technik“, der bei einem Audit verlangt und überprüft wird.“

Digitale PKI- und NAESB-Zertifikate – Wo beginnen?

Lange Zeit ist man davon ausgegangen, dass #PKI die Grundlage jeder Cyberinfrastruktur ist. Zu diesem Zweck hat das North American Energy Standards Board (NAESB) einen PKI-Standard geschaffen, um die wachsende Bedrohung des Stromnetzes durch Cyberangriffe anzugehen. Anspruchsvolle Anwendungen innerhalb der Branche wie der Energiehandel, der Nebenzeitenverbrauch, die Ausweitung intelligenter Verbrauchsmessung sowie das eTagging erfordern zwingend starke Authentifizierung und Verschlüsselung, die über NAESB-konforme Zertifikate bereitgestellt werden.

Das NAESB ist ein von der Industrie betriebenes freiwilliges Normungsgremium, dem Endkunden im Strom- und Gasbereich angehören (Erzeuger, Distributoren, Vermarkter und Endverbraucher) und das sich auf die Schaffung und Förderung von freiwilligen Standards konzentriert, die das nordamerikanische Netz betreffen und zu einem nahtlos funktionierenden Marktplatz für Netzbetreiber, Behörden und Kunden führen. Ein solcher Bereich der Standardentwicklung ist das CyberSecurity Subcommittee (CSS), das bisher einen Standard für  PKI namens WEQ-012 (nur für NAESB-Mitglieder) geschaffen hat, den aktuell viele unabhängige Systembetreiber befolgen.

Digitale Zertifikate von Unternehmen wie GlobalSign, die am NAESB PKI-Standard und der NAESB Authorized Certificate Authority (ACA) mitwirken, sind für verschiedene Anwendungsfälle geeignet, wie zum Beispiel für die sichere Authentifizierung bei Online-Diensten, den Zugang zur NAESB Electronic Industry Registry (EIR), zum digitalen Signieren von E-Mails und Dokumenten sowie zur Verschlüsselung der Server-Kommunikation.

Solche NAESB-konformen digitalen Zertifikate werden über ein webbasiertes, Managed-PKI-Portal bereitgestellt, so dass Compliance- und Sicherheitsbeauftragte Zertifikate für die Benutzer ausstellen und verwalten können. Das Ausstellen oder Widerrufen Zertifikaten erfolgt direkt über eine Managed-PKI.

Eine Anmerkung am Rande: auch die Netzbetreiber in Deutschland werden seitens der Bundesnetzagentur stärker in die Pflicht genommen. Sie müssen nämlich ihr Informationssicherheits-Managementsystem (ISMS) bis zum 31. Januar 2018 zertifiziert haben. Bis auf wenige Ausnahmen sind alle Netzbetreiber von den Sicherheitsvorgaben des IT-Sicherheitskatalogs der Bundesnetzagentur betroffen. Viele Netzbetreiber sind aber noch lange nicht soweit und hinken bei der Einführung eines ISMS nach ISO 27001 und ISO 27019 hinterher, von einer Zertifizierung ganz zu schweigen. Das liegt neben knappen Budgets und Ressourcen auch daran, dass die ISMS ein komplexes Thema ist und zudem für Netzbetreiber besondere Anforderungen gelten. Und nicht wenige straucheln schon beim Identifizieren der potenziellen Risiken und Bedrohungen.

Von: Ted Herbert, #GlobalSign

Weitere Informationen:

Whitepaper: Secure Critical Infrastructure Networks Against Cyber Attacks

Literaturhinweis: Testimony of Joseph McClelland Director, Office of Electric Reliability Federal Energy Regulatory Commission Before the Committee on Energy and Commerce Subcommittee on Energy and Power United States House of Representatives May 31, 2011. https://www.ferc.gov/EventCalendar/Files/20110531082541-Testimony.pdf

http://www.kritis.bund.de/SubSites/Kritis/DE/Rechtsrahmen/IT-SiG_node.html

https://www.bundesnetzagentur.de/DE/Sachgebiete/ElektrizitaetundGas/Unternehmen_Institutionen/Versorgungssicherheit/IT_Sicherheit/IT_Sicherheit_node.html